CN103227795B - 一种实现用户上网认证鉴权和报文标签的系统及其方法 - Google Patents
一种实现用户上网认证鉴权和报文标签的系统及其方法 Download PDFInfo
- Publication number
- CN103227795B CN103227795B CN201310156782.3A CN201310156782A CN103227795B CN 103227795 B CN103227795 B CN 103227795B CN 201310156782 A CN201310156782 A CN 201310156782A CN 103227795 B CN103227795 B CN 103227795B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- request
- identifying code
- page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种实现用户上网认证鉴权和报文标签的系统及其方法,方法包括以下步骤:用户终端开机时,以DHCP方式从NAT获取IP地址信息,并提取用户的MAC、IP和名字的绑定关系,同时将所述绑定关系的结果提供给IP身份管理模块;初始时,除DNS数据外,用户终端外出的数据包一律过滤,当是初次HTTP请求时,将进行HTTP重定向,要求用户进行认证鉴权;系统通过Web服务提供重定向的用户认证鉴权页面,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认;当用户认证鉴权的判断通过时,后续的用户外出IP包将放行;当内网用户IP授权时,实现对报文数据的标签。本发明减少了上网设备,节省了网络带宽,在网络上只需传输带标签的数据即可。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种实现用户上网认证鉴权和报文标签的系统及其方法。
背景技术
现有的网络设备一般仅仅实现DHCP、NAT以及数据传输等功能,无法实现上网认证鉴权,更无法实现对TCP报文和UDP报文进行标签等功能。要实现上网场所的网络用户授权管理,需要配置单独的上网认证设备或系统。要实现分布式的各个上网场所的网络数据安全管理,需要配置单独的镜像设备,并且要配备相关传输线路和传输带宽,才能实现上网数据的安全管理的功能。这样设备规模就要增大,而且占用网络带宽,增加了建设成本和维护成本。
发明内容
本发明所要解决的技术问题是网络用户授权管理成本高,无法便捷实现用户上网认证鉴权和报文标签的问题。
为了解决上述技术问题,本发明所采用的技术方案是提供一种实现用户上网认证鉴权和报文标签的方法,包括以下步骤:
A10、用户终端开机时,以DHCP方式从NAT获取IP地址信息,并提取用户的MAC、IP和名字的绑定关系,同时将所述绑定关系的结果提供给IP身份管理模块;
A20、初始时,除DNS数据外,用户终端外出的数据包一律过滤,当是初次HTTP请求时,将进行HTTP重定向,要求用户进行认证鉴权;
A30、系统通过Web服务提供重定向的用户认证鉴权页面,用户输入手机号后,系统进行验证码处理并向用户手机发送上网授权验证码,用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,并由IP身份管理模块和IP授权模块进行鉴权;
A40、当用户认证鉴权的判断通过时,后续的用户外出IP包将放行;
A50、当内网用户IP授权时,保存该IP提供的需要携带的特殊数据,包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据,实现对报文数据的标签;
A60、经过标签的报文数据按规定的时机进行发送;
A70、最后通过中间设备对这些带标签的报文数据进行处理,进而实现对分布式的各个上网场所的网络数据安全管理。
在上述实现用户上网认证鉴权和报文标签的方法中,在步骤A30中,认证鉴权的具体步骤如下:
B10、在NAT设备上部署用户认证鉴权处理模块,提供用户初始上网时的认证鉴权的功能;
B20、在IP身份管理模块中,保存有一张用户身份认证鉴权的信息表,其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息。
B30、当用户用IE浏览器上网时,如果该用户还没有通过认证鉴权,将触发一个向NAT的HTTP形式的认证鉴权请求;
B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后,进行初始页面请求处理,并构造一个认证鉴权页面回应给用户,认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息。
B50、用户输入手机号,然后向用户认证鉴权处理模块请求获取上网授权验证码,鉴权主控处理模块识别出是提交的获取授权请求后,进行验证码请求处理,然后随机生成一个验证码,并记录与手机号的关联,随后通过短信模块向用户手机发送该验证码;
B60、用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,鉴权主控处理模块识别出是验证码的鉴权确认请求后,进行验证码提交处理,此时,请求中含有用户的手机号和验证码信息,通过手机号查找所述步骤B50中生成的验证码,并进行比对,如不一致,则表明该用户不是先前请求认证鉴权的用户,向用户回送验证失败的页面,要求重新认证,若一致,则表明该用户是先前请求认证鉴权的用户,然后将该用户的IP地址信息通知IP身份管理模块,告知该用户已通过认证鉴权,可以后续的上网行为,并向用户回送验证成功的提示信息,可以正常上网;
B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后,刷新用户身份认证鉴权的信息表,记录该IP用户的上网可以授权通过信息,在该用户上网时,依据其IP地址判定该用户可以正常上网通过。
在上述实现用户上网认证鉴权和报文标签的方法中,在步骤A50中,所述特殊数据为会话ID,用于标识TCP、UDP会话所属的内网用户,所述会话ID包括唯一标识某个用户的如下信息:位置、IP地址、MAC地址和认证时间。
在上述实现用户上网认证鉴权和报文标签的方法中,用户一次登录直到该IP被其他内网用户再次动态分配复用前,只使用一个会话ID。
在上述实现用户上网认证鉴权和报文标签的方法中,所述会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。
本发明还提供了一种实现用户上网认证鉴权和报文标签的系统,包括部署在NAT设备上的用户认证鉴权处理模块,所述用户认证鉴权处理模块包括IP身份管理模块和IP授权模块,所述IP身份管理模块分别与用户终端和用户手机通信连接,用于提供鉴权页面和验证码处理,用户终端通过鉴权认证后其IP数据包通过报文标签模块实现报文标签。
本发明提供了一种实现用户上网认证鉴权和报文标签的系统及其方法,减少了上网认证设备、网络镜像设备、传输设备以及网络带宽等,使设备规模减少了约1/2,在网络上只需传输带标签的数据即可,这样传输带宽也节省了近1/2,进而缩减了建设成本和维护成本,大大提高了运行效率。
附图说明
图1为本发明提供的实现用户上网认证鉴权和报文标签的系统及其方法的流程结构示意图;
图2为本发明提供的实现用户上网认证鉴权的流程结构示意图。
具体实施方式
本发明是通过一种基于认证鉴权和报文标签的系统和方法来实现上网场所的网络用户授权管理和分布式的各个上网场所的网络数据安全管理,从而大大地降低项目的建设成本和维护成本。
下面结合附图对本发明作出详细的说明。
如图1所示,本发明提供的一种实现用户上网认证鉴权和报文标签的系统包括部署在NAT设备上的用户认证鉴权处理模块,用户认证鉴权处理模块包括IP身份管理模块和IP授权模块,IP身份管理模块分别与用户终端和用户手机通信连接,用于提供鉴权页面和验证码处理,用户终端通过鉴权认证后其IP数据包通过报文标签模块实现报文标签。
本发明还提供了一种实现用户上网认证鉴权和报文标签的方法,包括以下步骤:
A10、用户终端开机时,以DHCP方式从NAT获取IP地址信息,并提取用户的MAC、IP和名字的绑定关系,同时将所述绑定关系的结果提供给IP身份管理模块;
A20、初始时,除DNS数据外,用户终端外出的数据包一律过滤,当是初次HTTP请求时,将进行HTTP重定向,要求用户进行认证鉴权;
A30、系统通过Web服务提供重定向的用户认证鉴权页面,用户输入手机号后,系统进行验证码处理并向用户手机发送上网授权验证码,用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,并由IP身份管理模块和IP授权模块进行鉴权;
A40、当用户认证鉴权的判断通过时,后续的用户外出IP包将放行;
A50、当内网用户IP授权时,保存该IP提供的需要携带的特殊数据,包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据,实现对报文数据的标签;
A60、经过标签的报文数据按规定的时机进行发送;
A70、最后通过中间设备对这些带标签的报文数据进行处理,进而实现对分布式的各个上网场所的网络数据安全管理。
如图2所示,在步骤A30中认证鉴权基于网络设备的特定的运行环境,当用户进行鉴权请求时,Web服务根据请求的URL,将启动不同的进程来处理各个URL请求,这样对于一个用户页面与服务器之间的多次交互的数据关联,页面部分每次请求回应的进程处理时,通过Socket等方式向全局的IP用户身份管理进程获取用户当前的状态信息。
本实施方式中,认证鉴权的具体步骤如下:
B10、在NAT设备上部署用户认证鉴权处理模块,提供用户初始上网时的认证鉴权的功能;
B20、在IP身份管理模块中,保存有一张用户身份认证鉴权的信息表,其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息。
B30、当用户用IE浏览器上网时,如果该用户还没有通过认证鉴权,将触发一个向NAT的HTTP形式的认证鉴权请求;
B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后,进行初始页面请求处理,并构造一个认证鉴权页面回应给用户,认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息。
B50、用户输入手机号,然后向用户认证鉴权处理模块请求获取上网授权验证码,鉴权主控处理模块识别出是提交的获取授权请求后,进行验证码请求处理,然后随机生成一个验证码,并记录与手机号的关联,随后通过短信模块向用户手机发送该验证码;
B60、用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,鉴权主控处理模块识别出是验证码的鉴权确认请求后,进行验证码提交处理,此时,请求中含有用户的手机号和验证码信息,通过手机号查找步骤B50中生成的验证码,并进行比对,如不一致,则表明该用户不是先前请求认证鉴权的用户,向用户回送验证失败的页面,要求重新认证,若一致,则表明该用户是先前请求认证鉴权的用户,然后将该用户的IP地址信息通知IP身份管理模块,告知该用户已通过认证鉴权,可以后续的上网行为,并向用户回送验证成功的提示信息,可以正常上网;
B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后,刷新用户身份认证鉴权的信息表,记录该IP用户的上网可以授权通过信息,在该用户上网时,依据其IP地址判定该用户可以正常上网通过。
本实施方式中,为实现识别用户上网数据,需要引入会话ID,在步骤A50中,特殊数据即为会话ID,它是用于标识TCP、UDP会话所属的内网用户,原则上一次用户登录直到该IP被其他内网用户再次动态分配复用前,可只使用一个会话ID。会话ID需要唯一地标识某个用户,可由位置、IP地址、MAC地址、认证时间(精确到秒)等信息决定。
会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。即该会话ID填写在三处:
1)TCP初始会话的SYN中的Option中的第1个Option位置。
当用户IP授权通过后,在发送每个TCP会话的第1个SYN包时,按下面示意进行修改该SYN包。
2)重计算校验和2)重新计算TCP校验和。
2)UDP初始会话的附加部分的尾部。
当用户IP授权通过后,在发送每个UDP会话第1个包时,在该UDP包后面增加若干字节的会话ID信息。
3)指定UDP的尾部。
通过本发明提供的一种实现用户上网认证鉴权和报文标签的系统和方法,减少了上网认证设备、网络镜像设备、传输设备以及网络带宽等,使设备规模减少了约1/2,在网络上只需传输带标签的数据即可,这样传输带宽也节省了近1/2,进而缩减了建设成本和维护成本,大大提高了运行效率。
本发明不局限于上述最佳实施方式,任何人应该得知在本发明的启示下作出的结构变化,凡是与本发明具有相同或相近的技术方案,均落入本发明的保护范围之内。
Claims (5)
1.一种实现用户上网认证鉴权和报文标签的方法,其特征在于,包括以下步骤:
A10、用户终端开机时,以DHCP方式从NAT获取IP地址信息,并提取用户的MAC、IP和名字的绑定关系,同时将所述绑定关系的结果提供给IP身份管理模块;
A20、初始时,除DNS数据外,用户终端外出的数据包一律过滤,当是初次HTTP请求时,将进行HTTP重定向,要求用户进行认证鉴权;
A30、系统通过Web服务提供重定向的用户认证鉴权页面,用户输入手机号后,系统进行验证码处理并向用户手机发送上网授权验证码,用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,并由IP身份管理模块和IP授权模块进行鉴权;
A40、当用户认证鉴权的判断通过时,后续的用户外出IP包将放行;
A50、当内网用户IP授权时,保存该IP提供的需要携带的特殊数据,包括TCP Option的特殊数据、UDP附加的特殊数据、UDP直接负载的特殊数据,实现对报文数据的标签;
A60、经过标签的报文数据按规定的时机进行发送;
A70、最后通过中间设备对这些带标签的报文数据进行处理,进而实现对分布式的各个上网场所的网络数据安全管理。
2.如权利要求1所述的一种实现用户上网认证鉴权和报文标签的方法,其特征在于,在步骤A30中,认证鉴权的具体步骤如下:
B10、在NAT设备上部署用户认证鉴权处理模块,提供用户初始上网时的认证鉴权的功能;
B20、在IP身份管理模块中,保存有一张用户身份认证鉴权的信息表,其中记录了用户认证鉴权是否通过、用户的IP地址/MAC地址以及用户身份信息;
B30、当用户用IE浏览器上网时,如果该用户还没有通过认证鉴权,将触发一个向NAT的HTTP形式的认证鉴权请求;
B40、认证鉴权处理模块的鉴权主控处理模块识别出是认证鉴权请求后,进行初始页面请求处理,并构造一个认证鉴权页面回应给用户,认证鉴权页面中包含要求用户输入的手机号以及用户其他身份信息;
B50、用户输入手机号,然后向用户认证鉴权处理模块请求获取上网授权验证码,鉴权主控处理模块识别出是提交的获取授权请求后,进行验证码请求处理,然后随机生成一个验证码,并记录与手机号的关联,随后通过短信模块向用户手机发送该验证码;
B60、用户手机接收到验证码后,在认证鉴权页面中输入验证码,向用户认证鉴权处理模块请求验证码的鉴权确认,鉴权主控处理模块识别出是验证码的鉴权确认请求后,进行验证码提交处理,此时,请求中含有用户的手机号和验证码信息,通过手机号查找所述步骤B50中生成的验证码,并进行比对,如不一致,则表明该用户不是先前请求认证鉴权的用户,向用户回送验证失败的页面,要求重新认证,若一致,则表明该用户是先前请求认证鉴权的用户,然后将该用户的IP地址信息通知IP身份管理模块,告知该用户已通过认证鉴权,可以后续的上网行为,并向用户回送验证成功的提示信息,可以正常上网;
B70、IP身份管理模块接收到用户认证鉴权所通过的用户信息后,刷新用户身份认证鉴权的信息表,记录该IP用户的上网可以授权通过信息,在该用户上网时,依据其IP地址判定该用户可以正常上网通过。
3.如权利要求1所述一种实现用户上网认证鉴权和报文标签的方法,其特征在于,在步骤A50中,所述特殊数据为会话ID,用于标识TCP、UDP会话所属的内网用户,所述会话ID包括唯一标识某个用户的如下信息:位置、IP地址、MAC地址和认证时间。
4.如权利要求3所述一种实现用户上网认证鉴权和报文标签的方法,其特征在于,用户一次登录直到该IP被其他内网用户再次动态分配复用前,只使用一个会话ID。
5.如权利要求3所述一种实现用户上网认证鉴权和报文标签的方法,其特征在于,所述会话ID分别位于TCP初始会话的SYN中的Option中的第一个Option位置、UDP初始会话的附加部分的尾部以及指定UDP的尾部。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310156782.3A CN103227795B (zh) | 2013-04-28 | 2013-04-28 | 一种实现用户上网认证鉴权和报文标签的系统及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310156782.3A CN103227795B (zh) | 2013-04-28 | 2013-04-28 | 一种实现用户上网认证鉴权和报文标签的系统及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103227795A CN103227795A (zh) | 2013-07-31 |
| CN103227795B true CN103227795B (zh) | 2015-08-26 |
Family
ID=48838056
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310156782.3A Active CN103227795B (zh) | 2013-04-28 | 2013-04-28 | 一种实现用户上网认证鉴权和报文标签的系统及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103227795B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607400A (zh) * | 2013-11-26 | 2014-02-26 | 深圳市掌众信息技术有限公司 | 一种改进的手机身份验证方法和系统 |
| CN105119935B (zh) * | 2015-09-11 | 2018-02-13 | 上海斐讯数据通信技术有限公司 | 一种认证上网系统及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101789906A (zh) * | 2010-02-24 | 2010-07-28 | 杭州华三通信技术有限公司 | 用户接入认证的方法和系统 |
| CN102056170A (zh) * | 2009-11-05 | 2011-05-11 | 中国移动通信集团公司 | 一种移动终端用户认证鉴权方法及系统 |
| CN102882853A (zh) * | 2012-09-05 | 2013-01-16 | 孙银海 | 一种互联网用户身份验证的系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7490242B2 (en) * | 2004-02-09 | 2009-02-10 | International Business Machines Corporation | Secure management of authentication information |
-
2013
- 2013-04-28 CN CN201310156782.3A patent/CN103227795B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102056170A (zh) * | 2009-11-05 | 2011-05-11 | 中国移动通信集团公司 | 一种移动终端用户认证鉴权方法及系统 |
| CN101789906A (zh) * | 2010-02-24 | 2010-07-28 | 杭州华三通信技术有限公司 | 用户接入认证的方法和系统 |
| CN102882853A (zh) * | 2012-09-05 | 2013-01-16 | 孙银海 | 一种互联网用户身份验证的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103227795A (zh) | 2013-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| CN102271133B (zh) | 认证方法、装置和系统 | |
| CN101873332B (zh) | 一种基于代理服务器的web认证方法和设备 | |
| EP2932428B1 (en) | Method of allowing establishment of a secure session between a device and a server | |
| CN111131416B (zh) | 业务服务的提供方法和装置、存储介质、电子装置 | |
| US20150237027A1 (en) | Apparatus, method and system for context-aware security control in cloud environment | |
| CN107508822B (zh) | 访问控制方法及装置 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| WO2015061398A4 (en) | Method and system for capturing web content from a web server | |
| CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN109104475A (zh) | 连接恢复方法、装置及系统 | |
| CN101656609A (zh) | 一种单点登录方法、系统及装置 | |
| CN101895526A (zh) | 拨号认证方法及系统 | |
| CN103997479B (zh) | 一种非对称服务ip代理方法和设备 | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN109981312A (zh) | 智能设备配置方法、装置及系统 | |
| CN104811439A (zh) | 一种Portal认证的方法和设备 | |
| CN106911681A (zh) | 上网认证方法及装置 | |
| CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
| CN104837134A (zh) | 一种Web认证用户登录方法、设备和系统 | |
| CN103227795B (zh) | 一种实现用户上网认证鉴权和报文标签的系统及其方法 | |
| CN102638472A (zh) | 一种Portal认证方法和设备 | |
| CN102045398B (zh) | 一种基于Portal的分布式控制方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 100085 Beijing city Haidian District xi'erqi Street No. 39 3 301-1 Patentee after: BEIJING ESAFENET SCIENCE & TECHNOLOGY CO., LTD. Address before: 100085 Beijing city Haidian District xi'erqi Street No. 39 new Silicon Valley block A 3 layer model Patentee before: Beijing Acuity Information Technology Co., Ltd. |